Skip to main content

Le consentement aux cookies : ce que la loi exige réellement

Le consentement aux cookies est l'une des exigences les plus mal comprises en matière de confidentialité numérique. De nombreuses entreprises pensent être en conformité parce qu'elles affichent une bannière de cookies. Mais une bannière n'est pas un consentement. Le consentement est une notion juridique précise, assortie d'exigences strictes — et le non-respect de ces exigences peut rendre l'intégralité de votre collecte de données illégale.

Le fondement juridique

Le consentement aux cookies repose sur deux piliers juridiques :

L'article 5(3) de la directive ePrivacy pose l'exigence : le stockage ou l'accès à des informations sur l'appareil d'un utilisateur requiert le consentement de celui-ci, sauf si ce stockage est strictement nécessaire à un service explicitement demandé par l'utilisateur. C'est la règle qui régit spécifiquement les cookies.

L'article 4(11) du GDPR définit ce qu'est le consentement : « le "consentement" de la personne concernée s'entend de toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement. »

Ces deux dispositions fonctionnent de concert. La directive ePrivacy indique quand le consentement est nécessaire (pour les cookies non essentiels). Le GDPR indique à quoi ressemble un consentement valide. Les deux doivent être respectés.

Les cinq exigences d'un consentement valide

Sur la base de l'article 4(11), de l'article 7 du GDPR et des Lignes directrices 05/2020 du CEPD sur le consentement, un consentement aux cookies valide doit répondre à cinq critères :

1. Librement donné

L'utilisateur doit disposer d'un choix réel. Le consentement n'est pas libre si :

  • L'accès est conditionné au consentement. Si l'utilisateur ne peut pas utiliser le site web sans accepter tous les cookies (un « mur de cookies »), le consentement n'est pas librement donné. Le CEPD a confirmé cette position, même si certaines autorités nationales de protection des données tolèrent des murs de cookies limités dans des circonstances précises — notamment lorsqu'une véritable alternative existe (telle qu'une version payante sans cookies).
  • Il existe un déséquilibre de pouvoir important. Dans les relations employeur-employé ou administration-citoyen, le consentement peut ne pas être réellement libre. Pour la plupart des sites web, cela est moins pertinent, mais cela compte pour les services publics et les plateformes intranet.
  • Refuser est nettement plus difficile qu'accepter. Si « Tout accepter » est un bouton bien visible et que « Tout refuser » nécessite de naviguer dans les paramètres, le consentement n'est pas librement donné. Le Garante italien et la CNIL française ont tous deux publié des recommandations précises exigeant que refuser les cookies soit aussi simple que les accepter.

2. Spécifique

Le consentement doit être donné séparément pour chaque finalité distincte. C'est la raison d'être des catégories de cookies. Un mécanisme de consentement valide doit permettre aux utilisateurs d'accepter les cookies analytiques tout en refusant les cookies marketing, ou inversement. Regrouper tous les cookies sous un unique « accepter » ou « refuser » ne satisfait pas à l'exigence de spécificité — même si proposer à la fois « Tout accepter » et « Tout refuser » comme raccourcis, aux côtés de contrôles par catégorie, est acceptable.

3. Éclairé

Avant de donner son consentement, l'utilisateur doit être informé :

  • De l'identité de ceux qui déposent les cookies (l'exploitant du site web et tout tiers)
  • De ce que fait chaque catégorie de cookies
  • De la durée de vie des cookies
  • De la manière de retirer son consentement

Ces informations doivent être présentées clairement et dans un langage simple. Une politique de cookies de 5 000 mots enfouie derrière trois clics ne rend le consentement « éclairé » en aucune façon significative. La première couche de votre mécanisme de consentement doit contenir suffisamment d'informations pour que l'utilisateur puisse prendre une décision éclairée.

4. Univoque

Le consentement requiert un acte positif clair. L'utilisateur doit accomplir une action pour manifester son consentement — cliquer sur un bouton, cocher une case, actionner un interrupteur.

Ce qui NE constitue PAS un consentement univoque :

  • Les cases pré-cochées. La CJUE a tranché de manière définitive dans l'arrêt Planet49 (affaire C-673/17, octobre 2019) que les cases pré-cochées ne constituent pas un consentement valide. Cela s'applique aux paramètres de consentement aux cookies où les catégories sont cochées par défaut.
  • La poursuite de la navigation. « En continuant à utiliser ce site, vous consentez aux cookies » n'est pas un consentement valide. Le simple fait de faire défiler la page ou de cliquer sur un lien n'est pas une « manifestation univoque ». Plusieurs autorités de protection des données l'ont confirmé, et les lignes directrices du CEPD sont explicites sur ce point.
  • Les paramètres du navigateur. S'appuyer sur les paramètres du navigateur de l'utilisateur comme forme de consentement a été rejeté par les régulateurs. L'exploitant du site web doit obtenir le consentement directement.
  • Le silence ou l'inaction. Si l'utilisateur ignore la bannière et poursuit sa navigation, il ne s'agit pas d'un consentement. Aucun cookie ne doit être déposé tant que l'utilisateur n'a pas fait un choix actif.

5. Préalable

Bien qu'il ne soit pas mentionné comme un élément distinct de l'article 4(11) du GDPR, la directive ePrivacy indique clairement que le consentement doit être obtenu avant le dépôt des cookies. C'est l'exigence à laquelle de nombreux sites web ne satisfont toujours pas. Les scripts qui se déclenchent au chargement de la page — déposant des cookies analytiques et marketing avant même que l'utilisateur n'ait vu la bannière de consentement — violent cette exigence fondamentale.

Techniquement, cela signifie que les scripts non essentiels doivent être bloqués tant que le consentement n'est pas donné. Le simple fait d'afficher une bannière alors que des cookies sont déjà déposés ne satisfait pas à l'exigence de consentement préalable.

À quoi ressemble un consentement valide dans la pratique

Une mise en œuvre conforme du consentement aux cookies :

  1. Bloque tous les cookies non essentiels avant que l'utilisateur n'interagisse avec le mécanisme de consentement.
  2. Présente une première couche claire qui explique les catégories de cookies utilisées, avec des options pour accepter ou refuser chaque catégorie.
  3. Propose « Tout accepter » et « Tout refuser » avec le même niveau de visibilité — même taille, même poids visuel, même nombre de clics requis.
  4. N'utilise pas de dark patterns — pas de couleurs de boutons trompeuses, pas d'options de refus cachées, pas de langage ambigu, pas d'incitation à accepter.
  5. Renvoie vers une politique de cookies détaillée qui répertorie chaque cookie par nom, finalité, durée et fournisseur.
  6. Enregistre le consentement avec un horodatage et les catégories précises que l'utilisateur a acceptées ou refusées.
  7. Ne déclenche les scripts concernés qu'après l'obtention du consentement pour cette catégorie spécifique.

Le cycle de vie du consentement

Le consentement n'est pas un événement ponctuel. Il possède un cycle de vie que votre mise en œuvre doit prendre en charge :

Collecte

Première visite : afficher le mécanisme de consentement, bloquer les cookies non essentiels, attendre l'action de l'utilisateur.

Stockage

Lorsque le consentement est donné, stockez le choix de l'utilisateur dans un cookie strictement nécessaire (aucun consentement n'est requis pour ce cookie, car il est indispensable pour respecter les préférences de confidentialité de l'utilisateur). Conservez également un enregistrement côté serveur comme preuve du consentement.

Application

Lors des chargements de page ultérieurs, lisez le cookie de consentement et ne déclenchez que les scripts correspondant aux catégories acceptées par l'utilisateur. N'affichez plus la bannière — respectez le choix enregistré.

Retrait

L'article 7(3) du GDPR est explicite : « Il est aussi simple de retirer que de donner son consentement. » Votre site web doit offrir aux utilisateurs un moyen permanent et facilement accessible de modifier leurs préférences en matière de cookies à tout moment. Une approche courante consiste à placer une petite icône ou un lien en pied de page qui rouvre l'interface de gestion du consentement.

Renouvellement

Le consentement n'est pas éternel. La CNIL recommande de renouveler le consentement tous les 13 mois. Le CEPD n'a pas fixé de durée précise, mais exige que le consentement reste valide et que le choix de l'utilisateur reflète toujours sa volonté réelle. La bonne pratique consiste à redemander le consentement au moins une fois par an ou chaque fois que votre utilisation des cookies évolue de manière significative.

Modifications

Si vous ajoutez de nouveaux cookies, de nouveaux services tiers ou de nouvelles finalités, le consentement existant peut ne plus les couvrir. Les utilisateurs doivent alors être à nouveau invités à donner (ou à refuser) leur consentement pour le nouveau traitement.

Enregistrements et preuve du consentement

L'article 7(1) du GDPR dispose : « Lorsque le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement. » Pour le consentement aux cookies, cela signifie que vous devez conserver des enregistrements indiquant :

  • Quand le consentement a été donné (horodatage)
  • À quoi l'utilisateur a consenti (quelles catégories ont été acceptées, lesquelles ont été refusées)
  • Comment le consentement a été recueilli (à quoi ressemblait le mécanisme de consentement à ce moment-là — un identifiant de version ou une capture d'écran)
  • Qui a donné son consentement (généralement un identifiant anonymisé, et non le nom de l'utilisateur)

Si un régulateur vous demande de prouver qu'un cookie donné a été déposé avec un consentement valide, ces enregistrements constituent votre défense. Sans eux, vous n'avez aucune preuve du bon fonctionnement de votre mécanisme de consentement — et la charge de la preuve vous incombe, pas au régulateur.

Les manquements courants au consentement

D'après les actions coercitives menées à travers l'Europe, voici les manquements au consentement les plus fréquemment sanctionnés :

  1. Cookies déposés avant le consentement. Des scripts analytiques et marketing qui se déclenchent au chargement de la page, avant que l'utilisateur n'interagisse avec la bannière.
  2. Absence d'option de refus sur la première couche. Obliger les utilisateurs à cliquer sur « Paramètres » ou « Gérer les préférences » pour refuser les cookies, alors que « Tout accepter » est immédiatement disponible.
  3. Catégories pré-cochées. Des interrupteurs de consentement activés par défaut pour les cookies analytiques et marketing.
  4. Impossibilité de retirer son consentement. Une fois la bannière fermée, l'utilisateur n'a aucun moyen de modifier son choix.
  5. Mur de consentement / mur de cookies. Bloquer l'accès au contenu tant que tous les cookies ne sont pas acceptés.
  6. Conception trompeuse. Utiliser le vert pour « Accepter » et le gris pour « Refuser », rendre le bouton d'acceptation plus grand, ou employer un langage ambigu comme « Continuer sans accepter » face à « Accepter et continuer ».

Passiro analyse la mise en œuvre du consentement aux cookies de votre site web et recherche ces manquements courants, vous aidant à identifier et à corriger les lacunes de conformité avant qu'un régulateur ne le fasse.

À suivre : quand exactement le consentement est-il requis ? La réponse comporte quelques nuances importantes, notamment l'exemption pour les cookies strictement nécessaires et le débat en cours autour des outils d'analyse propriétaires.

Votre site web est-il conforme aux regles sur les cookies ?

Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.

Scanner vos cookies gratuitement